Ankerは、同社のEufyセキュリティカメラがネイティブにエンドツーエンドで暗号化されているわけではないことをようやく認めたようだ。そして現在、この問題を解決するための変更を実施し始めている。
事の発端は11月、あるセキュリティ研究者が、AnkerのEufyセキュリティカメラが、なぜかクラウドサービスの利用料を支払っていないユーザーでも、ユーザーの画像や情報をクラウドに送信している事を発見した。それも、ユーザーの同意なしにだ。
その後、この問題を掘り下げていくと、Eufyはコンテンツをクラウドにアップロードしていただけでなく、動画のURLを知っていれば、VLCなどのアプリを使ってカメラのストリームをライブで見ることができることも判明したのだ。Eufy(Anker)は自社サイトで、軍レベルのセキュリティにより情報が守られると胸を張っていたが、実際には全く暗号化されておらず、セキュリティはザルで個人情報はダダ漏れだったわけだ。
そして、この問題を修正する代わりに、同社は、コンテンツが特定の状況下でクラウドにアップロードされていることをユーザーに警告する文言を追加するという、斜め上の対応をしただけだった。そして、同社のサイトから、カメラのプライバシー保護に関する取り組みについて誇らしげに語っていた内容を削除し、カメラストリームが閲覧できる問題については、そのような事態はないと否定する事すらしていた。
だが、The Vergeへの一連の電子メールの中で、AnkerはEufyセキュリティカメラがネイティブにエンドツーエンドで暗号化されていないことを認めた。さらに、カメラはEufyのWebポータル用に暗号化されていないビデオストリームも生成しており、メディアプレーヤーを使ってアクセスすることができる。
しかし、同社は、これらの問題を解決するための修正を開始したと述べている。今後、Eufyのカメラは、デフォルトで暗号化されたWebRTCを使用するようにアップデートされる予定とのことだ。
また、Ankerは、コミュニケーション不足を謝罪し、外部のセキュリティ会社を導入して監査を行うことに同意しているという。
Eufyには以前からセキュリティ上の問題もあった。2021年5月、Eufyの所有者は、他のユーザーが所有するカメラの映像を閲覧することが出来てしまうケースも報告されており、更に偽のアクセス権を与えられた者によって設定が変更される可能性があることも発見され、これも問題になっていた。外部のセキュリティ会社が介入ことにより、Ankerのセキュリティ意識が少しでも向上することが望まれる。
Source
コメントを残す